優先度上限プロトコルによる優先度逆転の回避・リソース共有効率化

 並行処理での優先度逆転の回避や効率性改善の実現手段として、優先度上限プロトコルがあります。優先度上限プロトコルは、リソースをロックしたプロセスの優先度を上限値に引き上げる仕組みです。
 今回はTOPPERS/ASP3での実装を例に、簡単な解説を書きたいと思います。

優先度上限プロトコルを使用しない実装

 優先度上限プロトコルは、シングルタスクのRTOSですと動きが明快です。そのためシミュレータが提供されていてPCで簡単に動かせるRTOSTOPPERS/ASP3で動作確認します。

 今回は、基本的に前エントリ「TOPPERS/ASP3をシミュレータで動かす & タスクを実装する - 千里霧中」に追加変更を加えたコードを用います。環境構築やコンフィギュレータの操作はそのエントリを参照ください。
 まずは比較対象として、優先度上限プロトコルを用いない版を説明します。

実装

 前述エントリと同じく、TASK_HOGE、TASK_HIGH_HOGEの2つのタスクを用意します。タスク優先度は、TASK_HIGH_HOGE > TASK_HOGE です。
 そのタスクのコンフィギュレーション設定は、例えば以下のように記述します。

CRE_TSK(TASK_HOGE, { TA_NULL, 10, task_hoge, 5, STACK_SIZE, NULL });
CRE_TSK(TASK_HIGH_HOGE, { TA_NULL, 11, task_highlevel_hoge, 4, STACK_SIZE, NULL });

 次にタスクの実装です。今回は、メインタスクがTASK_HOGEをウェイクアップし、そのTASK_HOGEは途中でTASK_HIGH_HOGEをウェイクアップする動作を実装します。
 まずメインタスクに以下のウェイクアップ処理を追記します。

act_tsk(TASK_HOGE);
act_tsk(TASK_HIGH_HOGE);
for (i = 0; i < task_loop; i++);
wup_tsk(TASK_HOGE);

 TASK_HOGEの実装は以下の通りです。

void task_hoge(intptr_t exinf)
{
  while (true) {
    slp_tsk();
    syslog(LOG_INFO, "hoge");
    wup_tsk(TASK_HIGH_HOGE);    
    syslog(LOG_INFO, "hoge end");
  }
}

 TASK_HIGH_HOGEの実装は以下の通りです。

void task_highlevel_hoge(intptr_t exinf)
{
  while (true) {
    slp_tsk();
    syslog(LOG_INFO, "high hoge");
    syslog(LOG_INFO, "high hoge end");
  }
}

動作

 上記のサンプルを動かすと、以下のログ出力が得られます。

hoge
high hoge
high hoge end
hoge end

 コンフィギュレーションで指定したタスク優先度の通り、TASK_HIGH_HOGEをウェイクアップしたタイミングで、実行タスクがTASK_HOGEからTASK_HIGH_HOGEにスイッチしているのがわかります。

優先度上限プロトコルを使用する実装

 次に優先度上限プロトコルを使用した例です。今回は、TASK_HOGEがTASK_HIGH_HOGEをウェイクアップする際、優先度上限プロトコルを設定したミューテックスMTX_RESOUCEをロックするように実装します。
 まずコンフィギュレーションの記述です。ミューテックスMTX_RESOUCEの設定を追加します。MTX_RESOUCEの優先度上限は全タスク中最高の値を指定します。

CRE_TSK(TASK_HOGE, { TA_NULL, 10, task_hoge, 5, STACK_SIZE, NULL });
CRE_TSK(TASK_HIGH_HOGE, { TA_NULL, 11, task_highlevel_hoge, 4, STACK_SIZE, NULL });
CRE_MTX(MTX_RESOUCE, { TA_CEILING, 1 });

 そしてタスク実装です。最初の実装例のうち、TASK_HOGEを以下のように変更します。MTX_RESOUCEのロック制御処理を、TASK_HIGH_HOGEウェイクアップ前後に追記しています。

void task_hoge(intptr_t exinf)
{
  while (true) {
    slp_tsk();
    syslog(LOG_INFO, "hoge");
    loc_mtx(MTX_RESOUCE);
    wup_tsk(TASK_HIGH_HOGE);    
    syslog(LOG_INFO, "hoge end");
    unl_mtx(MTX_RESOUCE);
  }
}

動作

 上記のサンプルを動かすと、以下のログ出力が得られます。

hoge
hoge end
high hoge
high hoge end

 MTX_RESOUCEのロックを開放するまで、TASK_HIGH_HOGEのタスク実行が行われないことがわかります。ロック中、TASK_HOGEの優先度がTASK_HIGH_HOGEを上回っているということです。

優先度上限プロトコルの用途

 マルチタスクでの優先度設定は、一般的にタスクごとの優先度設定で行います。優先度上限プロトコルは、それに加えて、リソースごとの優先度設定を可能にする仕組みとも解釈できます。
 優先度上限プロトコルの主用途は、優先度逆転の防止です。これによりデッドロックの回避等を行います。
 また、リソース占有時間の最適化にも用いられます。例えばノンプリエンプティブならば、特定のリソース専有中での無用なコンテキストスイッチやタスク中断を抑止します。一般的ではないですが、プリエンプティブで、特定のリソース専有処理を早く処理させるために活用しているところも見たことがあります。
 優先度上限プロトコルPOSIXスレッドのサポートが有名です。特にPOSIX準拠のRTOSでは活用の余地があります。

 なお「リソースごとの優先度設定を可能にする」というと聞こえは良いのですが、マルチプロセスで常用されているわけではありません。以下のような制約を持つためです。

  • タスクの優先度を動的に変えてしまうので、マルチタスクの設計をかえって複雑化させる場合があります。まず優先度上限プロトコルを使用しなくても良いようにタスク設計を工夫したほうが良いことがあります(タスクが使用するリソースを限定的に、リソースが紐づくタスクを限定的に)。
  • ラウンドロビンなどのプリエンプティブなスケジューリング(よくある典型がPOSIXを使う組み込みLinux)では、メリットをどこまで得られるかが不透明です。例えばロック時間の短縮を意図しても、具体的にどこまで時間短縮できるかが見積もりが難しいです。そのためラウンドロビンでの活用は少ないです。デッドラインの遵守などには、タスク単位の割り込み制御、CPUアフィニティの設定、FPGA・他プロセッサへの切り出し等など、別対策に頼らざるを得ない場合が多いです。

 もちろん上記の制約は状況によります。例えば重要なクリティカルセクション1、2個程度に限定して優先度上限プロトコルを適用することで、マルチタスク設計を簡略化できる場合もあります。また優先度逆転を事前のコンフィギュレーションで防止できるのが便利な状況もあります。

POSIXスレッドにて複数スレッドのタイミング制御をまとめて行う(セマフォと条件変数を使う場合)

 POSIXスレッドを使用する場合で、複数のスレッドを一斉にブロック解除させる方法についてまとめます。

 今回は、割と課題になりがちな、スレッドの開始制御について扱います。POSIXでは、この開始時におけるタイミング同期の一斉制御は少し面倒になります。pthread_create実行からスレッド内の処理が開始するまでのタイミングが不確定なためです。
 おおよそ以下のステップが必要になります。

  1. すべての制御対象スレッドを生成する
  2. 各制御対象スレッドは、制御元にスレッド開始を通知し、制御元からの指示を待つ
  3. 制御元は、すべての制御対象スレッドからスレッド開始の通知を受けるまで待つ
  4. 制御元は、各制御対象スレッドに処理命令を通知する
  5. 各制御対象スレッドは、制御元からの処理命令に基づいて処理を実行する

 これらの実現手段として、POSIXではセマフォや条件変数が使われます。その場合、この各ステップの同期制御を実現するために、いずれも2つ分のセマフォ・条件変数を要します。以降にそれぞれの実装例を示します。

 なお、組み込みのリアルタイム処理の視点に限ると、POSIXスレッドのAPIはやや力不足です。リアルタイム処理でより複雑な一斉同期制御を行う場合は、各スレッドで独自のスレッド制御状態を管理させ、そのスレッド制御状態を共有しながら同期制御を行う処理を追加実装するアプローチが妥当なことが多いです。

セマフォの場合

 複数スレッドのまとめての同期制御には、セマフォが有望です。名前付きセマフォを使用した場合のサンプルコードを以下に示します。これは、制御元main()関数が3つのスレッドthread_func()の開始タイミングの制御を行うものです。(なお解説用なのでエラー処理は副作用の大きいもの以外省略しています)
 前述したステップ2、3に、スレッド→制御元のセマフォ制御(サンプルのpsync_prestart)、ステップ4、5に制御元→スレッドのセマフォ制御(サンプルのpsync_start)を用いています。

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>
#include <semaphore.h>
#include <sys/stat.h>
#include <fcntl.h>

#define NUM_OF_THREADS 3
#define SEMNAME_PRESTART "hoge"
#define SEMNAME_START "fuga"

static sem_t *psync_prestart, *psync_start;

void *thread_func(void *arg)
{
	int id = (int)pthread_self();
	printf("[%x]start\n", id);
	sleep(1);
	sem_post(psync_prestart);
	printf("[%x]wait for psync_start\n", id);
	sleep(1);
	sem_wait(psync_start);
	printf("[%x]start\n", id);
	return NULL;
}

int main(void)
{
	int i, id;
	pthread_t th[NUM_OF_THREADS];
	psync_prestart = sem_open(SEMNAME_PRESTART, O_CREAT | O_EXCL, 0x777, 0);
	if (psync_prestart == SEM_FAILED) {
		sem_unlink(SEMNAME_PRESTART);
		perror("sem_open error\n");
		exit(EXIT_FAILURE);
	}
	psync_start = sem_open(SEMNAME_START, O_CREAT | O_EXCL, 0x777, 0);
	if (psync_start == SEM_FAILED) {
		sem_unlink(SEMNAME_START);
		perror("sem_open error\n");
		exit(EXIT_FAILURE);
	}
	for (i = 0; i < NUM_OF_THREADS; i++) {
		pthread_create(th + 1, NULL, thread_func, NULL);
	}
	for (i = 0; i < NUM_OF_THREADS; i++) {
		sem_wait(psync_prestart);
	}
	printf("all threads are waiting\n");
	for (i = 0; i < NUM_OF_THREADS; i++) {
		sem_post(psync_start);
	}
	printf("all threads are running\n");
	for (i = 0; i < NUM_OF_THREADS; i++) {
		pthread_join(th[i], NULL);
	}
	sem_close(psync_prestart);
	sem_close(psync_start);
	sem_unlink(SEMNAME_PRESTART);
	sem_unlink(SEMNAME_START);
	exit(EXIT_SUCCESS);
}

出力は以下のようになります。

[67c8000]start
[68ce000]start
[684b000]start
[68ce000]wait for psync_start
[67c8000]wait for psync_start
[684b000]wait for psync_start
all threads are waiting
all threads are running
[68ce000]start
[684b000]start
[67c8000]start

条件変数の場合

 条件変数のbroadcastを利用しても、複数スレッドのまとめての制御が可能です。
 セマフォのサンプルコードで、セマフォを条件変数に置き換えたものを以降に示します。ここではステップ4、5のブロック・ブロック解除処理に条件変数のAPI:pthread_cond_broadcast()を利用しています。なお前述したステップ2については、コードが少し面倒なのでセマフォのままとしています(条件変数のみを使用した実装については http://codezine.jp/article/detail/1893 に解説があります)。

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>
#include <semaphore.h>
#include <sys/stat.h>
#include <fcntl.h>

#define NUM_OF_THREADS 3
#define SEMNAME_PRESTART "hoge"

static sem_t *psync_prestart;
pthread_mutex_t mutex_start = PTHREAD_MUTEX_INITIALIZER;
pthread_cond_t cond_start = PTHREAD_COND_INITIALIZER;

void *thread_func(void *arg)
{
	unsigned int id = (unsigned int)pthread_self();
	printf("[%x]start\n", id);
	sem_post(psync_prestart);
	printf("[%x]wait for cond\n", id);
	pthread_mutex_lock(&mutex_start);
	pthread_cond_wait(&cond_start, &mutex_start);
	pthread_mutex_unlock(&mutex_start);
	printf("[%x]exit\n", id);
	return NULL;
}

int main(void)
{
	int i, id;
	pthread_t th[NUM_OF_THREADS];
	psync_prestart = sem_open(SEMNAME_PRESTART, O_CREAT | O_EXCL, 0x777, 0);
	if (psync_prestart == SEM_FAILED) {
		sem_unlink(SEMNAME_PRESTART);
		perror("sem_open error\n");
		exit(EXIT_FAILURE);
	}
	for (i = 0; i < NUM_OF_THREADS; i++) {
		pthread_create(th + 1, NULL, thread_func, NULL);
	}
	for (i = 0; i < NUM_OF_THREADS; i++) {
		sem_wait(psync_prestart);
	}
	printf("all threads are waiting\n");
	pthread_cond_broadcast(&cond_start);
	printf("all threads are running\n");
	sleep(1);
	for (i = 0; i < NUM_OF_THREADS; i++) {
		pthread_join(th[i], NULL);
	}
	sem_close(psync_prestart);
	sem_unlink(SEMNAME_PRESTART);
	exit(EXIT_SUCCESS);
}

出力はセマフォを利用したときと同様になります。

pythonのdoctestとcoverageでコメントの説明の十分性を簡易確認

pythonでは、ドキュメントとして書かれたコメントと、実際の動作が一致するか確認する手段として、doctestを標準で提供しています。
題材として、大まかな動作の説明をdocstringに書いた、以下のhoge()という簡単なメソッドを扱います。

# coding:utf-8
# sample.py
import re

def hoge(line):
	'''
	指定した文字列から定数名の定義を抽出する
	# (1)プリプロセッサのマクロ定義名を抽出する
	>>> from sample import hoge
	>>> hoge('#define PREPRO_MACRO 33')
	'PREPRO_MACRO'
	
	# (2)const変数の名前を抽出する
	>>> hoge('const int const_variable_name = 33;')
	'const_variable_name'
	'''
	
	result = re.search('[\s\t]*#define[\s\t]+([a-zA-Z_0-9]*)', line)
	if result != None:
		return result.group(1)
	result = re.search('[\s\t]*const[\s\t]+[a-zA-Z_0-9]*[\s\t]+([a-zA-Z0-9_]*)[\s\t]+=', line)
	if result != None:
		return result.group(1)
	result = re.search('[\s\t]*constexpr[\s\t]+[a-zA-Z_0-9]*[\s\t]+([a-zA-Z_0-9]*)[\s\t]+=', line)
	if result != None:
		return result.group(1)
	return ''

これを以下のようなコマンドで、doctest上で実行します。

python -m doctest sample.py

すると、doctestはコメント内容に基づき、hoge()を実行して以下の確認を行います。

  • hoge('#define PREPRO_MACRO 33')」の戻り値が「'PREPRO_MACRO'」であること。
  • hoge('const int const_variable_name = 33;')」の戻り値が「'const_variable_name'」であること。

たとえば適当なバグをコードに埋め込むと、次のようにコメントの仕様と動作の差異を報告してくれます。

File "sample.py", line 14, in sample.hoge
Failed example:
    hoge('const int const_variable_name = 33;')
Expected:
    'const_variable_name'
Got:
    ''

このdoctestは外部向けに仕様を解説するコメントの保守に便利です。特にTest as DocumentationやSpecification by Exampleを推進するテストファースト手法を直接的にサポートしてくれます。

カバレッジでコメント解説の十分性を評価

doctestではコードカバレッジの計測も可能です。doctestでのコードカバレッジを見ることで、コメントの解説の十分性を簡易チェックできるようになります。
(あくまで参考指標です。ここで「doctestでカバレッジ100%得られるまでコメントを書くこと」を強制しだすと当然おかしくなります)

例えばcoverage.pyを使う場合、以下のようなコマンドを実行します。

coverage run -m doctest sample.py

すると以下のconstexprについてのコードが実行されていないことがカバレッジレポートで報告されます。それで、該当部分についてのコメントの説明が足りないことに気づけます。

result = re.search('[\s\t]*constexpr[\s\t]+[a-zA-Z_0-9]*[\s\t]+([a-zA-Z_0-9]*)[\s\t]+=', line)
if result != None:
    return result.group(1)

astah*で作成されたモデルをJava APIで解析・編集する

組み込みのモデリングツールとして一般的なEnterprise Architectのファイルは、zipファイルとして解凍すると、テキストベースのXMLとして、モデルデータの各種解析や編集が可能になるのが一部で知られています。
一方で同じく組み込み一般的なAstah*の方は、zipファイルとして解凍は可能なものの、中身はバイナリファイルでEAのような解析編集が難しくなっています。ただAPIが提供されていて、その活用で柔軟な処理を行えます。今回はそのAPIの使い方について触れたいと思います。

概要

astah* APIJavaAPIです。最新版だと無料のCommunity版でもモデルの解析や編集が可能になっています。
http://astah.change-vision.com/ja/astah-api.html などに情報がまとまっています。

astah* APIライブラリの追加

astah* APIを使用する際は、Community版の場合、astah-communityとastah-apiの2つが必要です。Mac環境のIntelliJだと、ProjectSettingのLibrariesに以下を追加します。

/Applications/astah community/astah community.app/Contents/Java/astah-community.jar
/Applications/astah community/astah community.app/Contents/Java/astah-api.jar

実装

ProjectAccessorを使ってastahのファイルを操作します。細かな仕様は以下などで情報が提供されています。

http://astah.change-vision.com/ja/astah-api.html
http://members.change-vision.com/javadoc/astah-api/7_1_0/api/ja/doc/index.html

実装として、テスト設計の補助を想定して、astah*の状態遷移図のトリガイベントを網羅的にピックアップするコードを書いてみました。

//TARGET_FILE内で作成されている、TARGET_SMDの名前のステートマシン図のトリガイベントをすべて表示
import com.change_vision.jude.api.inf.model.*;
import com.change_vision.jude.api.inf.project.ProjectAccessor;
import com.change_vision.jude.api.inf.AstahAPI;

public class PrintStateTransitions {
    private static final String TARGET_FILE = "/Users/ih/Desktop/sample.asta";
    private static final String TARGET_SMD = "sampleStateMachine";

    public static void main(String[] args) {
        ProjectAccessor prjAccessor = null;
        try {
            prjAccessor = AstahAPI.getAstahAPI().getProjectAccessor();
            prjAccessor.open(TARGET_FILE, true, false, true);
            checkStateTransitions(prjAccessor.getProject());
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (prjAccessor != null) {
                prjAccessor.close();
            }
        }
    }
    private static void checkStateTransitions(IPackage iPackage) {
        INamedElement[] ine = iPackage.getOwnedElements();
        for (int ip = 0; ip < ine.length; ip++) {
            INamedElement[] idg = ine[ip].getDiagrams();
            for (int id = 0; id < idg.length; id++) {
                if (idg[id] instanceof IStateMachineDiagram && idg[id].getName().equals(TARGET_SMD)) {
                    printAllStateTransitions((IStateMachineDiagram)idg[id]);
                }
            }
            if (ine[ip] instanceof IPackage) {
                // 入れ子のパッケージ構造を再帰処理
                System.out.println();
                IPackage iChildPackage = (IPackage)ine[ip];
                checkStateTransitions(iChildPackage);
            }
        }
    }

    private static void printAllStateTransitions(IStateMachineDiagram ismd) {
        ITransition[] it = ismd.getStateMachine().getTransitions();
        System.out.print(ismd.getName() + ":");
        for (int i = 0; i < it.length; i++) {
            System.out.println("  " + it[i].getName());
        }
    }
}

(C++)constexpr & static_assertによるコンパイル時テストの用途

 これは ソフトウェアテスト Advent Calendar 2016 - Qiita の4日目の記事です。

 C++では、C++11から以下の言語仕様が追加されました。
・違反するとコンパイルを失敗させる表明構文:static_assert
・指定対象をコンパイル時に処理させる指定子:constexpr

 このstatic_assertとconstexprを組み合わせると、コンパイル時テストを柔軟に構築できるようになります。
 コンパイル時テストは、コンパイルの際に実行され、テストに失敗したらコンパイルエラーを発生させるものです。これはC++のようなコンパイラ方式言語で、テストの選択肢を広げる助けとなります。今回は組み込み向けを想定して、コンパイル時テストの用途を紹介したいと思います。

コンパイル時テストの用途1:コンパイル時処理のテスト

 constexprで記述されたコンパイル時処理なら、大抵コンパイル時にテストできます。そのテストをコンパイル時テストとして書けば、テストを失敗させるコードをコンパイル不能にして、不具合混入を防止できます。
 単純な例ですが、例えば以下のような2つの値の差の絶対値を計算する、constexpr関数get_diffを考えます。

template <typename T>
constexpr auto get_diff(T x, T y) {
    return (x < y) ? y - x: x - y;
}
//今回のエントリのコードは全体的にC++14依存です。動作確認時は「clang++ -std=c++14 ソースファイル」などで

 ここで以下のように、static_assertとconstexprで記述したテストを用意します。

constexpr void test_get_diff(void) {
    static_assert(3 == get_diff(5, 2),"test get_diff: arg_left > arg_right, int");
    static_assert(3 == get_diff(2, 5),"testget_diff: arg_left < arg_right, int");
    static_assert(0.4 == get_diff(0.6, 0.2),"test get_diff:double");
}

 すると、上記test_get_diffのテストを失敗させるようなコードはコンパイルエラーとなります。
 組み込みでは、constexprの適用範囲が充実するC++14以降を使える環境は少ないです。ただコンパイル時処理の強化はC++の言語やライブラリの時流となっています。そのため今後活用の余地が増えていくと思います。

コンパイル時テストの用途2:テストの効率性の改善

 組み込みでは「処理時間(プロセッサリソースの使用量)」「RAM/ROM使用量」「コードの可読性」がしばしばトレードオフの関係になります。ターゲット環境向けに大量のテストデータを扱うテストを実装する際には、そのトレードオフの折り合いをどうするか、悩まされる事があります(テストが遅すぎて処理タイミングが変わったり、ROM/RAM上限を超えたり、と言った感じです)。

 例えば、解説しやすい例として、sin計算テストの期待値生成の実装を考えます。
 sin計算の実装の一つとして、FPGA等でたまにある、以下のように入出力テーブルを用意する方法があります。

//sin計算テストの期待値を生成
double get_expected_sin_value(const int degree) 
{
    const double sin_table[360] = {
        0.0,
        0.017452392,
        0.034899467,
        0.052335912,
        0.069756415,
        0.087155669,
        //略。359まで続く
    };
    return sin_table[degree % 360];
}

void test_my_sin(void) //sin計算のテスト
{
    ...
    EXPECT_EQ(my_sin(5), get_expected_sin_value(5));
    ...
}

 もう一つの実装としては、アセンブラ言語等で定番の、マクローリン展開を行って実装する方法があります。以下のようなコードです。

const double pi = 3.14159;
double taylor_numer(const int n) {
    auto result {1.0};
    for (auto i = 2.0; i <= n; i++) {result *= i;}
    return result;
}

double taylor_denom(const double x, const int n) {
    auto result {x};
    for (auto i = 0; i < n; i++) {result *= x;}
    return result;
}

//sin計算テストの期待値を生成
double get_expected_sin_value(const int degree) {
    auto result {0.0};
    auto rad {(double)(degree % 360) * pi / 180.0};
    
    for (auto n = 0; n <= 8; n++) {
        auto const taylor_summand {taylor_denom(rad, 2 *n) / taylor_numer(2 * n + 1)};
        result += ((n % 2) ? -taylor_summand : taylor_summand);
        if (taylor_summand < 0.000001) {
            break;
        }
    }
    return result;
}

 上記の2つでは、処理時間(プロセッサリソースの使用量)、RAM/ROM使用量、コードの可読性がトレードオフの関係にあります。

  • テーブル方式ですと、処理時間を短くできます。RAM/ROM使用量が増大します。(sinでなくもっと複雑な計算式を使う場合に問題化しますが)テーブル格納値の導出方法がコードから読み取れず、コードの可読性が悪くなることがあります。
  • マクローリン展開方式ですと、処理時間が長くなります。RAM/ROM使用量は少ないです。sin計算の過程(マクローリン展開で、8項あるいは1項0.000001未満になるまで計算)がコードから読み取れるようになります。

 ここで、これらテストの記述をconstexpr指定すれば、処理時間、RAM/ROM使用量、コードの可読性のトレードオフを壊せる場合があります。
 例えばマクローリン展開方式を以下のようにconstexprで実装します。

constexpr double pi = 3.14159;
constexpr double taylor_numer(const int n) {
    auto result {1.0};
    for (auto i = 2.0; i <= n; i++) {result *= i;}
    return result;
}

constexpr double taylor_denom(const double rad, const int n) {
    auto result {rad};
    for (auto i = 0; i < n; i++) {result *= rad;}
    return result;
}

//sin計算テストの期待値を生成
constexpr double get_expected_sin_value(const int degree) {
    auto result {0.0};
    auto rad {(double)(degree % 360) * pi / 180.0};
    
    for (auto n = 0; n <= 8; n++) {
        auto const taylor_summand {taylor_denom(rad, 2 * n) / taylor_numer(2 * n + 1)};
        result += ((n % 2) ? -taylor_summand : taylor_summand);
        
        if (taylor_summand < 0.000001) {
            break;
        }
    }
    return result;
}

 こうすると、sin計算はコンパイル時で済まされます。実行環境ではマクローリン展開の処理時間がなくなり、テーブルのようなROM/RAM使用量も不要になります。期待値の計算過程もコードで表現できます。処理時間、RAM/ROM使用量、可読性の3方面を改善しています(テーブル方式をconstexprで実装しても同様です。テーブル生成をconstexprで行えば、テーブル値の計算過程の明示も可能になります)。

 このように、コンパイル時テストやコンパイル時処理はテスト効率化の一手段となります。
 なおコンパイル時処理を行う場合、各種パラメータはコンパイル時に確定できなければならないという制約がつきます。ただテストデータであればその制約がクリアされる場合が多いため、活用しやすいです。

コンパイル時テストの用途3:契約による設計での、事前条件の達成の確認

 コンパイル時テストは契約による設計と親和性が高いです。事前条件の契約遵守のチェックをコンパイル時テストで記述すれば、(テスト範囲限定ですが)契約違反コードをコンパイル不能にします。契約による設計のアプローチ通り、以降の実行やテストでは、事前条件が満たされた場合の処理に集中できるようになります。


 例えばオープンアーキテクチャのAUTOSARを例にとります。AUTOSARは契約による設計を全面的に取り入れています。
 その一つの例ですが、AUTOSARではリンク時、プレビルド時に確定する静的コンフィグコードと本体コードを分けています。そこでは本体コードにとって、静的コンフィグコードは正しいことが事前条件となっています(コンフィグコードが間違っていると、不正メモリアクセスやNULL参照などが発生します)。
 その事前条件では、結構複雑なコンフィグの一貫性が求められます。例えば以下のようなコードで「BlockDescriptorList::NvBlockNumの値は、Ea_BlockConfigData::EaBlockNumで定義されているものを使用しなければならない」といったようなルールがたくさん出てきます。

const NvM_BlockDescriptorType BlockDescriptorList[] = {
    {
        ...
        0x16,//NvBlockNum  
        ...
    },
    {
        ...
        0x20,//NvBlockNum
        ...
    },
};
const Ea_BlockConfigType Ea_BlockConfigData[] = {
    {
        ...
        0x01, //EaBlockNum
        ...
    },
    ...
};

 一応、コンフィグの正しさについては、DETエラーチェックによって、一般的な表明構文と同じように事前条件チェックを行う仕組みを規定しています。ただDETエラーチェックはかなり簡易的である上、以下のような制約を持ちます。

  • 製品版とDETエラーチェック版でビルドが別れる。
  • 各関数呼び出しタイミングで、入力値が事前条件を満たしているかしか見ない。実行時に事前条件違反を発生させるような条件を実現しないと、不具合を検出できない。


 そこで、チェックを以下のようにコンパイル時テストとして記述しておくと、複雑で包括的な静的コンフィグコードのチェックを行えます。静的コンフィグコードに契約違反があればそもそもコンパイル不能になるため、あとは契約による設計の意図通り、本体コードではコンフィグコードが正しい時の処理にフォーカスできます。

constexpr bool check_memory_block_num_config()
{
    auto iea {0};
    for (auto invm = 0; invm < num_nvm_block; invm++) {
        for (; iea < num_ea_block; iea++) {
            if (Ea_BlockConfigData[iea].EaBlockNum == BlockDescriptorList[invm].NvBlockNum) {
                break;
            }
        }
        if (iea == num_ea_block) {
            return false;
        }
    }
    return true;
}

constexpr void test_memory_config()
{
    ...
    static_assert(check_memory_block_num_config(), "test_memory_config: memory block number");
    ...
}

ツリーで分析するときはクラスベースでも考えよう

 以下でツリーモデルで物事を分析する難しさが少し触れられていたので、ツリーモデルの記法上の制約について書きたい(一応の前置きとして、今回書くのは主に記法上の制約のみで、ツリーによる分析の進め方にはあまり言及しない)。

http://togetter.com/li/1047939

 クラシフィケーションツリー法等を使っていて、ツリーモデルで分析を行う際は、クラスベースモデルでも考えたほうが良い場合が多い。お互いメリット・デメリット両方あり、うまく補完しあえるためだ。
 具体的には、複雑なis-aの関係性を持つもの、has-a/is-aの関係性が混在するものは、ツリーでは表現しにくいが、クラス図ではすっきり表現できることが多い。例えば具体例としては以下。

 他にも、前述の例と似てるけれど、概念モデルでも設計モデルでもよく出てくるBridgeパターンも、ツリーによる表現のしにくさが問題化する。
 これらの問題は概ね、「抽象的なhas-a/is-aの関係を、抽象的に表現できない記法上の制約」に起因して、「要素や関係性の重複が発生」した形になる。

 ツリーベースのモデリングにはこういう制約があるので、モデリングのやりにくさを感じたら、クラスベースで考えるのは有効だと思う。より本質的な要素や関係性を適切に表現できて、分析がやりやすくなることがある。

 なおツリーを使ってうまくモデリングできないという問題は、ソフトウェアテストのテスト条件分析でよく見る。失礼な表現になってしまうかもしれないが、これはモデリング力不足でクラスベースのモデルをかけないことに起因している場合が多いように思う。

対象のドメインを意識してモデリングしよう

 またモデルの記法上の制約以外の原因として、プラクティスや慣習の蓄積も少しあると感じる。

 例えば、分析モデリングがごちゃごちゃになってしまう原因の一つに、複数のドメインをごちゃごちゃにまとめて扱ってしまう問題がある。
 クラスベースモデルでは、この原因を避ける慣習が一般化している。クラスベースモデルの実質的標準となっているUMLで、ドメインモデルと設計モデルの区別、システムモデルとサブシステムモデルの区別を明確にしてモデリングする方法論やプロセス、プラクティスが普及しているためだ。
 対してツリーベースモデルではUMLとくらべてそのような慣習が弱くて、適切なモデリング・不適切なモデリングの基準が曖昧なまま、各人自由にやることが多くなっていると思う。

 そのため、ツリーベースでモデリングする際も、「ドメインごとに分けてモデリングする」「ドメインモデルと設計モデルを分けてモデリングする」といった一般的なクラスベースモデリングの心がけを適用すると、やりやすくなる場合があると感じる。

組み込みUMLでの、分析モデリングでのクラスの識別アプローチについて文献まとめ

 組み込み向けのUML解説本で、概念モデルのクラスの識別をどのように行っているか、今回まとめた。
 まとめた本は以下の本+α。組み込みUMLの技術書5冊と、組み込みではないが、クラス識別に関する名著(オブジェクトデザイン、実践UMLユースケース駆動開発実践ガイド)をピックアップした。

f:id:goyoki:20161103200548j:plain

 初学者向けの個人的な推薦図書としては、「組込みソフトウェアのためのオブジェクト指向モデリング」で入門し、「リアルタイムUML」「リアルタイムUMLワークショップ」で具体的な解説を学び、「オブジェクトデザイン」で知見を深めるのが良いと思う。

組込みソフトウェアのためのオブジェクト指向モデリング

組込みソフトウェア開発のための オブジェクト指向モデリング (組込みエンジニア教科書)

本の概要

 現時点での組み込みUMLの定番の入門書。読みやすく、要点をシンプルにまとめていて、初学者の一冊目としておすすめできる。なお入門書としては参考文献の提示がほとんどないので、他書にも触れたほうが良いと思う。

オブジェクトやクラスの識別方法

 主に責務抽出法を扱う。大まかな流れは以下の通り。これらはイテレーティブに実施してモデルを洗練させる。

  1. コンテキストダイアグラムで対象のインターフェースを明確化する。
  2. クラス候補を抽出する。
    • クラス候補を「有形物」「役割」「出来事」「相互作用」「仕様」の観点で抽出する。
    • システムの本質(要求仕様の中でも重要で基本的な機能)を抽出する。
    • 本質を構成するクラス候補をキー抽象(本質の概念モデルを構成するクラス)として抽出する。
  3. モデル化指針に従って、クラス候補をクラス図として関連付ける。
  4. 本質となるモデルを詳細化・補強して、要求仕様を実現する分析モデルを得る。また静的な分析モデルは、動解析(状態遷移モデルとコミュニケーション図の分析が主)やシナリオに対する妥当性確認を通して洗練する。

 なお本書は教科書的な解説を行っており、クラス識別のアプローチも複数解説している。責務抽出法以外にも、名詞句抽出法、図解抽出法、直感抽出法を扱っている。

オブジェクトやクラスの識別のインプット

 責務駆動設計と同じ。本質を考えるために要求仕様を再解釈しているため、要求モデルの形式に縛りはない。UML本なので一応書籍ではユースケース記述をインプットにしているが、他の要求モデル(たとえばUSDMやユーザストーリーなど)にも適用可能だと思う。

リアルタイムUML第2版

リアルタイムUML オブジェクト指向による組込みシステム開発入門 (Object Oriented Selection)

本の概要

 古くからの組み込みUMLの定番書。組み込み特有の分析の観点やパターンの解説が豊富でおすすめできる。組み込み開発で重要になるシステムモデリングアーキテクチャ設計の解説が充実しているのにも好感を持てる。
 ただ古いのが問題。差分プログラミングを肯定的に解説してるなど今となっては微妙な記述がある。UML2.0啓蒙期に書かれた本のため、UMLの記法の説明にかなり紙面を消費している。

オブジェクトやクラスの識別方法

 大まかに、名詞句抽出法でオブジェクト・クラスを識別する。RUP/UPのように、最初は重要な課題について分析し、それからイテレーティブにモデルを洗練させていく方法を取る(著者はこのやり方をHarmonyという独自のUML活用プロセスとして提唱している)。
 オブジェクトの識別では、名詞句抽出法を使う。名詞句に下線を引き「関心あるオブジェクト」「関心のないオブジェクト」「アクター」「オブジェクトの属性」でカテゴリ分けして、オブジェクト候補を抽出する。次に候補となる名詞句に対し、「要因(アクション、イベント、メッセージの出処)」「サービス」「実世界の事象」「物理デバイス」「キー概念」「トランザクション」「永続情報」「視覚的要素」「制御要素」という観点を用いて、オブジェクトを識別する。
 オブジェクトを識別したらクラスを識別する。クラスの識別では、同じ性質を持つオブジェクトを共通化する、オブジェクトを抽象化するなどしてクラスを識別する。ここでは組み込みに特化した観点を用いる。例えばRTOSならば「タスク」「RTOSカーネル」「I/Oチャンネル」などで構成した典型的なクラスモデルを参考にして、クラスを識別する。
 なお識別したクラスは、ふるまいの分析や要求モデルに対する妥当性の確認を通して洗練させる。

オブジェクトやクラスの識別のインプット

 要求モデルはユースケース、システムモデル(システムを主にクラス図とシーケンス図で表現)が中心。名詞句抽出法で分析モデリングを正しく進められるように、システムモデルと要求モデルには正しさ・具体性が求められる。

リアルタイムUMLワークショップ

リアルタイムUMLワークショップ

本の概要

 著者の提唱するUML活用プロセス、Harmony(和)プロセスの解説本である。著者が同じということもあり、前述のリアルタイムUML第2版と内容はほぼ同じ。ただ演習問題と回答の形式で解説する形式を取る。事例を使った具体的な解説をしているほか、現場実践にあたっての名詞句抽出法の制約とその対策を扱っていて、今回のテーマにとっては有用な書籍。

オブジェクトやクラスの識別方法

 リアルタイムUML第2版と同じ流れを取る。
 細かな差分として、名詞句を抽出した後のオブジェクトの抽出では「原因エージェント」「サービス」「メッセージや情報フロー」「実世界のアイテム」「物理装置」「キー概念」「トランザクション」「永続情報」「ビジュアル要素」「制御要素」の観点を用いる(ただ微妙に違うのは翻訳揺れと思われる)。
 また名詞句抽出方法の課題として、実際に現場のドキュメントに適用すると同義語が多数されるほか分析が大規模になる点をあげている。それについて、名詞句の整理や、重要なユースケースの名詞句に絞って分析しその成果を他に展開するアプローチが解説されている。

オブジェクトやクラスの識別のインプット

 リアルタイムUML第2版と基本同じだった。具体的な事例の解説を行っているため、インプットとなるシステムズモデル、サブシステムモデルをかなり詳細に作成している。それらはブラックボックスユースケース、シナリオ)、ホワイトボックス(シーケンス、内部ブロック図)の2方向で表現する。

組み込みUML eUMLによるオブジェクト指向組み込みシステム開発

組み込みUML eUMLによるオブジェクト指向組み込みシステム開発 (OOP Foundations)

本の概要

 UMLを活用するプラクティスを体系化したeUMLという開発方法を解説している。メーカーの本棚には大抵置いてあるのでこれも定番書と言って良いかもしれない。概念的な解説というより、プロセス定義を解説しているような内容。管理、デバッグまで含めたアクティビティを広く浅く扱っている。

オブジェクトやクラスの識別方法

 分析モデルは、事前に分類したアプリケーションドメインユースケースから作成する。
 おおかかに、本書も重要な対象のモデリングを行って、イテレーティブに洗練させていく方針を取る。ただ具体的なクラス識別の方法を指定していない。参考例として、クラスカテゴリを観点に抽出する方法が解説されている。クラスカテゴリは「制御の対象となるもの(デバイス、温度など現実世界の対象物)」「業務知識(工程、データテーブルなど業務に関する情報)」からなるエンティティ、といったカテゴリ。
 またクラスを抽出した後の、クラスの詳細化や関連付けにデータモデリングを活用している。そこでは将来的な変更も加味した業務データを正規化し、そのデータモデルを概念モデルに展開している。

オブジェクトやクラスの識別のインプットにするもの

 ユースケースユースケースの補助(状態遷移モデル等)、アーキテクチャ要求をインプットとする。
 また事前にドメイン構造を作成する。ドメイン構造は、共通のルールやデータを使用する問題領域ごとに、ユースケースを分類したもの。ドメイン構造の大まかな分類として、アプリケーション、ユーザーインターフェース、メカニズム、デバイスの4つを上げている。これらは機能数や複雑さに応じて分割されていく。ドメイン構造はパッケージ図で表現する。
 アプリケーションのドメインが明確化されていれば、インプットの形式に制約は少ないと思われる。

UML動的モデルによる組み込み開発

UML動的モデルによる組み込み開発 分析・設計・実装・テスト

本の概要

 主に状態遷移モデルを使ったモデル駆動開発の解説書。本書はPLCやLSIといったソフトから離れた話も触れており、純粋なソフトウェアのモデリングの解説は限定的。UMLを使った分析モデルについても触れているのと、オブジェクトの識別で他とは少し違ったUML活用方法を取っているためピックアップした。

オブジェクトやクラスの識別方法

 UMLを使ったモデリングの手法は、eUMLを参照している。説明もeUMLを踏襲したものになっている。
 なお無線制御ソフトウェアの事例解説での分析モデリングのやり方が独特。ユースケース図でオブジェクトを導き出している。
 具体的には、構造化設計手法でDFDの代わりにユースケース図をかく方法を取っている。最初にコンテキストダイアグラムをユースケース図で書く。そしてユースケース内には、内部のデータフローをユースケースで記述する(includeやextedのような関係でなくデータフローのようにユースケースを記述)。構造化設計と同じようにユースケースを適切な粒度まで詳細化して、ユースケースをオブジェクトとする。

オブジェクトやクラスの識別のインプットにするもの

 eUMLと同じく、特に要求モデルに制約はないと思われる。無線制御の例ではユースケース図を前提にしているが、コンテキストダイアグラムでも問題ないと思う。
 なお本書は状態遷移のモデル駆動開発をテーマにしていることから、要求分析からステートマシン図を重視しているけれど、今回のテーマから外れるので触れていない。

オブジェクトデザイン

オブジェクトデザイン (Object Oriented SELECTION)

本の概要

 組み込み以外のおまけその1。組み込みの本ではないが、オブジェクトやクラスの識別についてかなり有名な名著なので今回紹介する。責務駆動設計のバイブル的書籍。今回のテーマについて学ぶなら必読だと思う。

オブジェクトやクラスの識別方法

 本書の代名詞ともいえる責務駆動設計を使う。大まかな流れは以下の通り。

  1. 重要な要求をストーリで表現する。その分析を幹に分析モデルを洗練させていく。重要な要求はアプリケーションの中心的な関心事や、開発の重大な課題となるコア設計である。
  2. ストーリから、分析のテーマを抽出する。
  3. そのテーマを実現するためのロール、責務を分析し、オブジェクトを発見する。ロールや責務の分析では、ロールのステレオタイプという典型的なロールのパターンや、責務のパターンを観点に、オブジェクトのロールや責務を考えていく。とっかかりには「システムが行う作業」「ソフトウェアが直接影響するもの」「ソフトウェア内を流れる情報」「判断、制御、調整アクティビティ」「オブジェクトの構造のグループ」「実世界の物事を表現するもの」といった観点をテーマに適用して分析候補を洗い出す解説が行われている。
オブジェクトやクラスの識別のインプットにするもの

 本書のやり方では、モデル分析しやすいように、一旦要求をストーリに再構築するので、要求モデルに制約はない。ユースケースでも、それ以外の方法でも問題ないと思う。ストーリ形式を用いていることから、ユーザストーリで整理されているとやりやすいかもしれない。別に、アプリケーションの中心的な関心事や、開発上の制約が分かる情報(計画書など)が要求される。

実践UML第3版

実践UML 第3版 オブジェクト指向分析設計と反復型開発入門

本の概要

 組み込み以外のおまけその2。責務駆動設計の一種であるGRASPのバイブル的な著作。書名はUML入門書のような印象だけれど、中身はガチのUP(ユニファイドプロセス)の解説書。今回のテーマについて学ぶならおすすめできる。ただ有名なGRASPは設計モデル向けの話なので使うので、今回は扱わない。

オブジェクトやクラスの識別方法

 問題領域モデルのクラス抽出方法として、既存モデルの再利用、カテゴリリストの使用、名詞句識別の3つを取り上げている
 「カテゴリリストの使用」では、クラスの候補リスト(分析の観点の一種)を用意し、それを要求に適用してクラスを識別する。候補リストとしては、ウェブの例として「ビジネス取引」「取引の明細」「取引が記録される場所」「物理的なオブジェクト」「協調する他のシステム」などからなるリストを紹介している。
 名詞句識別は、他書の名詞句抽出法と同じである。

オブジェクトやクラスの識別のインプットにするもの

 UPの解説なので、インプットはUPの形式であることが求められる。UPではユースケース記述が主なインプットになる。他にユースケース図、アクティビティ図、用語集等で要求を表現する。

ユースケース駆動開発実践ガイド

ユースケース駆動開発実践ガイド

本の概要

 組み込み以外のおまけその3。ICONIXロバストネス分析バイブル的著作。設計モデリングでのオブジェクト・クラスの識別に関して著名な本。なお有名なロバストネス分析は設計モデリングの話なので今回は触れない。

オブジェクトやクラスの識別方法

 他と同じく、反復的にモデルを洗練させるアプローチを取る。概念モデルを作るタイミングは、ユースケース記述の前。
 ICONIXでの概念モデルの扱いはかなりさっぱりしている。ユースケース記述、ロバストネス分析のための語彙を整理・明示するために作成する。使用する語彙が書かれていればよく、最初は、多重度、操作、属性の記述はやめるように解説されているほか、抜け漏れも許容される(後のユースケース記述、ロバストネス分析の中で加筆していく)。大まかな作成の流れは以下の通り。

  1. 要求モデリングで使用する名詞、名詞句を抽出する。
  2. 名詞・名詞句を整理する。同じものをまとめる、適切な命名をする、抽象度・具体度を揃える、不要なものを除くなど。
  3. ざっとクラス図でまとめる。
オブジェクトやクラスの識別のインプットにするもの

 概念モデルはユースケース記述を行う前から作る。そのためインプットには、ユースケースを作る前のより上流の要求も用いる。
 なおICONIXの概念モデルの記述はゆるいので、インプットも縛りはなく自由度がある。

大まかなまとめ

 古い本は名詞句抽出法、新しい本は責務抽出法をつかってクラスを識別している。
 識別では、組み込みに合せた分析の観点や、標準的なクラスモデル、責務パターンを用いている。
 識別のインプットは、責務抽出法では特に制約がない。名詞句抽出法ではシステムモデルや要求モデルに正しさ・完成度をもとめる。